Tras robar 16 millones de dólares, este hacker adolescente parece decidido a poner a prueba el principio de que el código es ley en los tribunales.

La semana pasada se robaron unos 16 millones de dólares en Criptomonedas mediante una vulnerabilidad de seguridad de un protocolo de Finanzas descentralizadas (DeFi), y las víctimas creen que saben exactamente quién lo hizo.

Sin embargo, a pesar de las amenazas del equipo, el presunto atacante, un estudiante canadiense de posgrado adolescente, se niega a devolver los fondos, lo que podría preparar el escenario para una confrontación legal innovadora.

En un lado del conflicto se encuentra un niño prodigio de las matemáticas y un defensor declarado del principio autorregulador de DeFi: "el código es ley". En el otro, un par de desarrolladores de DeFi y sus asesores se vieron obligados a tomar una serie de decisiones éticas inquietantes sin precedentes en nombre de una comunidad DAO.

En juego en la lucha se encuentran varios asuntos espinosos que hasta ahora han sido eclipsados con éxito por el explosivo crecimiento de las DeFi: ¿Cuál es el papel de las fuerzas del orden en un sector sin regular de 220 000 millones de dólares? ¿Cuándo, si es que se debe, llamar a la policía? Y, lo más importante, ¿es suficiente el concepto de «el código es ley» para abordar todas las complejidades éticas de las DeFi?

Primera infracción

El 14 de octubre, la cuenta oficial de Twitter de Indexed, unaGobernado por DAO El protocolo DeFi informó un error con dos de sus fondos de liquidez de reequilibrio automático de estilo de fondo indexado, ONE que había agotado casi la mitad de los $34 millones de Indexed en valor total bloqueado.

Un análisis de una publicación centrada en exploitsRekt Muestra que el error fue, de hecho, un ataque lanzado desde una dirección de Ethereum financiada por el mezclador de Privacidad Tornado Cash. Desde esa dirección, un atacante utilizó préstamos flash para desestabilizar el balance de los pools y comprar activos de los componentes con un descuento considerable.

En los días posteriores, el equipo de Indexed y una "sala de guerra" improvisada de expertos del sector se reunieron para mitigar los daños y recopilar información. Durante la investigación, creen haber descubierto la verdadera identidad del atacante: un prodigio de las matemáticas de 18 años conocido como "Andy".

Tanto el equipo CORE de Indexed como los miembros de la comunidad DeFi que afirman haber hablado con Andy dicen que este se ha negado a devolver los fondos y que tiene la intención de enfrentar cualquier cargo criminal resultante de su explotación en los tribunales, argumentando que simplemente ejecutó una operación de arbitraje totalmente legal.

Un hilo de tuits de una cuenta que afirma pertenecer a Andy agradeció a quienes le apoyaron por sus comentarios de la semana pasada y solicitó recomendaciones de abogados el jueves. Asimismo, en un intercambio de correos electrónicos con CoinDesk, Andy no confirmó haber perpetrado el ataque, pero sí afirmó que buscaba asesoramiento legal. (Andy ha dejado de responder a los correos electrónicos de CoinDesk desde entonces, aunque se han intentado contactarlo de nuevo).

Si el caso llega a un juez, podría ser una prueba de que "el código es ley", una frase popular en los círculos DeFi que se refiere a una mentalidad común, es decir, que en ausencia de regulación, el ecosistema DeFi es puramente conflictivo y todo lo permitido por el código también es, por naturaleza, éticamente permisible. Donde ONE puede ver una vulnerabilidad, otro puede simplemente ver...comercio de Cripto."

Sin embargo, varios expertos legales que hablaron con CoinDesk descartaron esta idea y dijeron que, si bien un caso puede ser complejo y quizás novedoso, un tribunal no necesariamente cederá al espíritu no oficial de DeFi.

‘Sala de guerra’

Poco después de descubrirse el ataque, el equipo CORE de Indexed encontró una serie de pistas que les llevaron a creer que habían identificado al hacker: un joven desarrollador que había estado hablando con el miembro del equipo Laurence Day durante meses.

"Era perfectamente afable, amigable, sonriente, con muchos emojis. Un tipo completamente normal", dijo Day sobre Andy en una entrevista con CoinDesk.

Aunque Day no escribió el código del protocolo, lo mantiene y, como resultado, “lo comprende bastante profundamente”.

"No siento que me hayan engañado ni nada por el estilo porque estaba discutiendo información que era públicamente disponible, pero esto me tomó por sorpresa", agregó Day.

Una vez que tenían un sospechoso, el equipo armó su "sala de guerra" en línea. Entre los miembros se encontraban el colaborador de Curve, Julien Bouteloup, el fundador de Rotki, Lefteris Karapetsas, y el seudónimoyearn.finance colaborador CORE “Banteg”, entre otros.

En una entrevista con CoinDesk, Banteg dijo que la decisión de unirse a la sala de guerra fue ONE.

"No rechazo estas invitaciones porque sé cómo se siente cuando uno se encuentra en una situación como esta, y creo que puedo brindar apoyo significativo y la perspectiva externa necesaria para ayudar a manejarlo con gracia y evitar errores estúpidos causados ​​por el estrés que ningún Human debería soportar solo", dijo Banteg.

Debate ético

Una vez que el equipo tuvo información sobre el atacante, decidieron dar un ultimátum: devolver los fondos o ser denunciados ante las autoridades policiales.

En el pasado, las amenazas de doxing han demostrado ser efectivas. Tras un exploit de 3 millones de dólares de un token no fungible (NFT) en septiembre, los desarrolladores intimidaron con éxito al atacante para que devolviera los fondos robados tras, entre otras tácticas de negociación, pedir sopa de miso a domicilio.

Sigue leyendo: Se robaron 3 millones de dólares, pero el verdadero robo son estos Kia Sedona, dicen desarrolladores anónimos

Sin embargo, llevar a cabo la amenaza tal vez sea una novedad y la decisión provocó un importante debate interno en el equipo.

Según Dillon Kellar, colaborador CORE de Indexed, la naturaleza de la estructura DAO de Indexed influyó mucho en el pensamiento del equipo.

"Una vez que dejó en claro que no se iba a rendir, que no le importaba que hubiéramos encontrado esta evidencia condenatoria en su contra, en ese momento tuvimos que tomar una decisión difícil porque si simplemente recurrimos a la policía, si nos KEEP esa información para nosotros mismos, efectivamente estamos tomando posesión de la situación nosotros mismos, y no podíamos hacer eso", dijo Kellar.

Es posible que otros miembros de la DAO deseen reclamar individual o colectivamente una remuneración en un tribunal civil, y si los miembros del equipo CORE retuvieron la información personal de Andy, esto podría impedirles hacerlo, lo que en última instancia provocaría un argumento moral a favor del doxing.

“No nos sentimos cómodos con la idea de divulgar públicamente información confidencial, pero Indexed no es una entidad legal, es una DAO. Y Dillon y yo no tenemos derecho a poseer esta información en exclusiva ni a asumir la responsabilidad de la batalla legal. Esta es una respuesta acorralada”, dijo Day.

Banteg también expresó su malestar con la decisión, pero apoyó seguir adelante con ella.

Es algo sin precedentes. En términos éticos, como pueden imaginar, todo esto resulta bastante incómodo. Creo que Indexed le dio al hacker más que suficientes salidas, pero él se cree invencible.

Al final, en la sala de guerra hubo consenso total.

“No hay ONE en esta sala que haya opuesto seriamente la ruta que se ha tomado. Sabemos que hemos hecho todo lo posible”, dijo Day. “No me importan los señores del borde ni las ranas. Cualquiera que tenga algo valioso que decir al respecto está con nosotros”.

Niño prodigio

Sin embargo, cuando la fecha límite del equipo pasó sin noticias de Andy, Banteg hizo un Explora sorprendente: el atacante no es sólo "inmensamente talentoso"; con sólo 18 años, es un genio adolescente.

Según una versión en caché de su ahora desaparecido sitio web personal, Andy pronto completará su maestría en matemáticas aplicadas en la Universidad de Waterloo en Ontario (también alma mater del cofundador de Ethereum, Vitalik Buterin); ha escrito artículos sobre variedades suaves de Schubert y esferas de Riemann, entre otros temas complejos; y según un artículo de 2016 del Globe and Mail de Canadá, completó las matemáticas de la escuela secundaria con solo 13 años.

Su presencia en línea también denota una vena vanidosa. En un foro de Wikipedia en 2016, Andy se describió a sí mismo como un "experto en matemáticas y física teórica". Incluso se presentó en la wiki de un concurso como un "matemático notable".

La afirmación es ahora una “broma oscura” en la sala de guerra de Indexed, dijo Day: Se ha convertido exactamente en eso, aunque no por su beca.

"Supongo que se manifestó mejor que todos nosotros", agregó Day.

Preocupaciones paternas

Este Explora planteó un nuevo dilema ético en la sala de guerra, ya que muchos consideraban que denunciar a un adolescente tenía mayor peso. La nueva información les impidió tomar la iniciativa de inmediato, como lo expresó Kellar.

“Enseñé informática y nunca tuve a alguien del nivel de Andy, pero conozco a ese tipo de persona. Cuando eres así, mira, a los 18 años eres un hombre ante la ley, pero mentalmente sigues siendo un niño”, dijo Day. “No sé si eso suena denigrante para él o si sueno excesivamente comprensivo, pero creo que este es un caso de enorme habilidad a expensas de casi todo lo demás”.

Asimismo, Jason Gottlieb, del bufete estadounidense Morrison Cohen, describió la situación en términos paternalistas. Gottlieb fue contratado por Day y Kellar para representar a Indexed en la denuncia de los delitos a las autoridades.

Creo que el hecho de que solo tenga 18 años podría ser motivo de empatía. Tengo un hijo que está cerca de esa edad, así que, como padre, siento cierta empatía, sabiendo que los adolescentes pueden hacer estupideces. Sé que yo también las hice de adolescente —dijo Gottlieb—.

Sin embargo, la nueva información condujo al equipo a nuevas pistas, incluyendo el Explora de que Andy presuntamente frecuentaba círculos extremistas en línea. Durante la investigación, el equipo descubrió que formaba parte de una filtración de datos de un servicio web que albergaba comunidades de extrema derecha.

Hay también una serie de otras pistas que sugieren ideologías de odio: los datos de la llamada para el ataque de Andy incluyeron un insulto racial; la dirección de Ethereum del ataque comienza con “BA5Ed1488”, una referencia numerológica a un eslogan neonazi; un extraño hilo de tweets de ZetaZero incluyó ciertas palabras entre corchetes triples, un popular silbido antisemita.

Además, la cuenta ZetaZero retuiteó recientemente una publicación en la que se hacía referencia a Andy como “el Dylan Roof de las piscinas Balancer ”, una referencia a un terrorista supremacista blanco que mató a nueve feligreses negros en 2015.

Aunque los miembros de la sala de guerra dijeron que no podían identificar un momento particular en el que tomaron la firme decisión de divulgar la información de Andy a pesar de su edad, los vínculos con el extremismo influyeron en su pensamiento.

Lo frustrante es que, hasta que no revelara todas esas partes desagradables de sí mismo —la supremacía blanca, el antisemitismo, su insoportable naturaleza idiota—, si hubiera devuelto el 90% y se hubiera quedado con la recompensa, al menos le habríamos pedido que auditara el código. Y si nos hubiera revelado todo esto, le habríamos dado entre 50.000 y 100.000 dólares y lo habríamos incorporado al equipo en un abrir y cerrar de ojos —dijo Day—.

Kellar también dijo que la edad por sí sola no podía distraer de la gravedad de las acciones de Andy.

“Para un joven normal de 18 años, me preocuparía divulgar su información. Y no quiero decir que todavía no lo T, pero lo cierto es que es un joven de 18 años muy avanzado. Tiene una maestría. Terminó la preparatoria a los 13 años. Y ha cometido el delito de robar 16 millones de dólares. Y si va a ser lo suficientemente adulto para hacer esas cosas, es lo suficientemente adulto para enfrentar las consecuencias legales”, dijo Kellar.

Código de derecho

Sin embargo, a los ojos de algunos miembros de la comunidad DeFi, Andy no robó nada en absoluto.

Un grito de guerra popular para muchos fanáticos de DeFi es "el código es ley", a menudo llamado despectivamente "ley de códigos". Esta visión, quizás mejor explicada en unensayo Por la pasante seudónima de e-Girl Capital, "Odette", sostiene que no existe tal cosa como un "hackeo" o un "tirón de alfombra" en DeFi, y que es responsabilidad de cada actor VET exhaustivamente todas las acciones en cadena: si pierde dinero por un hackeo o un contrato defectuoso, es su responsabilidad.

Debido a que toda la información está disponible libremente en la cadena y las acciones en la cadena son inmutables, DeFi es en última instancia un entorno autónomo y determinista que opera fuera de los parámetros regulatorios y éticos normales, o así se piensa.

A Day le preocupa que una facción de la comunidad DeFi que cree que el código es ley ahora esté incitando a Andy.

Creo que está escuchando a un montón de ranas. Lo llaman desde la base, le piden dinero y lo aclaman como un héroe, dijo.

No es inusual que los admiradores acudan en masa a los hackers exitosos. Tras el hackeo de 613 millones de dólares de POLY Network, mendigos y admiradores... mensajes usados en la red Ethereum para animar al culpable.

Consenso social

Sin embargo, en la práctica, es posible que la noción de que “el código es ley” ya haya sido refutada.

"Francamente, es agotador", dijo Lefteris Karapetsas a CoinDesk. "Tuvimos esta pelea hace cinco años".

En 2016, Karapetsas fue el líder técnico deSlock.it, una startup que encabezó The DAO, un notorio experimento de inversión temprana cuyo fracaso provocó una división de la cadena que condujo a la creación de Ethereum Classic.

La versión de Ethereum que dicta la ley nació de ahí. Se llama ETC y aún existe. Los defensores de la ensalada de col pueden jugar allí sin problema alguno, dijo Karapetsas.

La cadena Ethereum canónica actual es el resultado de que la comunidad haya alcanzado un consenso social para "deshacer" efectivamente el hackeo de The DAO en lugar de dejar que el código sea completamente determinista, y eso es algo bueno, según Karapetsas.

Sigue leyendo: El hackeo de DAO sigue siendo un misterio

Ningún constructor en este sector, en su sano juicio, cree que el código es ley. Es solo un meme perpetuado por observadores anónimos a quienes les gusta ver cómo se desata el caos.

Añadió que si la comunidad adoptara tales principios, el resultado final rápidamente se volvería distópico.

Si el código fuera ley, este campo sería simplemente un campo de juego para hackers que intentarían constantemente robar fondos de los protocolos. Serían epónimos e idolatrados. Mientras que a los usuarios se les culparía por 'no leer el código lo suficientemente bien'. Que es básicamente lo que dicen todos los defensores de la ensalada de col.

Arrugas legales

La pregunta ahora es si el principio “el código es ley” se sostendrá ante un tribunal de justicia.

Gottlieb confirmó a CoinDesk que ha entregado toda la información relevante a varias agencias policiales, pero se negó a especificar cuáles.

Si bien es una pregunta abierta si esas agencias tendrán la experiencia técnica para analizar el caso y emitir una orden de arresto, Gottlieb sugirió que están más avanzados de lo que algunos nativos de DeFi podrían pensar.

"No daría por sentado que las autoridades no están familiarizadas con este tipo de cosas", dijo. "Ya he contactado con mis contactos en varias agencias policiales, y hay personal policial que se ocupa de hackeos y robos de Criptomonedas ".

Gottlieb señaló que las personas con las que habló son “muy sofisticadas” en su comprensión del espacio y que están “interesadas” en el caso.

Independientemente de si es arrestado o no, Andy también podría tener motivos para presentar contracargos.

Matt Burgoyne, abogado especializado en valores y Cripto del bufete canadiense McLeod Law LLP, afirmó que incluso antes de que el caso llegue a juicio, podrían surgir complicaciones. Burgoyne declaró a CoinDesk que no representa a Andy.

El doxing puede ser ilegal en Canadá y el alcance de las consecuencias legales depende de las circunstancias. El doxing puede dar lugar a cargos de acoso criminal, invasión de la Privacidad y acecho. No creo que esto llegue a los tribunales y, si así fuera, estoy seguro de que ambas partes sufrirían daños y perjuicios, afirmó.

Erich Dylus, un ingeniero legal de la red Oracle API3, expresó su malestar personal con el doxing y también dijo que podría dar lugar a contraacusaciones.

Creo que la divulgación pública de información confidencial puede ser extremadamente peligrosa y, a menudo, conduce a una vigilancia indeseable e injustificada o a Opinión públicos. Sin mencionar la posibilidad de abrir vías de responsabilidad para quienes la divulgan, afirmó.

En un tuit del jueves, Kellar dijo que Andy y su familia han estado recibiendo amenazas y pidió a la comunidad que cese el abuso y busque otros "recursos legales".

Robar del plato de colecta

Sin embargo, una vez analizadas estas quejas, la pregunta es si un tribunal puede lidiar con la complejidad de los creadores de mercado automatizados ponderados (AMM), los préstamos flash y las llamadas "explotaciones económicas".

Geoff Costeloe, asociado de la firma canadiense Lindsey MacCarthy LLP y miembro de LexDAO, dijo que la estructura DAO de Indexed podría generar contratiempos.

“Voy a seguir de cerca la recuperación del asunto”, dijo. “Dado que Indexed es una DAO descentralizada, tengo curiosidad por ver cómo presentan su reclamación y cómo describen su relación con el protocolo y otros miembros de la DAO. ¿Dirán que es una sociedad o una corporación? ¿O dirán que son individuos?”

Gottlieb, el abogado de Indexed, desestimó estas preocupaciones. Comparó el exploit con una congregación religiosa que había recaudado fondos para alguna causa: si es robado, no deja de ser un delito porque sería difícil rastrear con precisión quién poseía qué en un momento específico.

Puro engaño

De la media docena de abogados con los que habló CoinDesk , todos coincidieron en que, si bien a primera vista el caso potencial puede parecer que sentará una serie de precedentes, la realidad es que un tribunal probablemente evaluará la vulnerabilidad en términos simples.

El abogado Cripto Stephen Palley advirtió que si el caso llega a los tribunales, podría ser el momento que ponga fin definitivamente a las fantasiosas nociones de autorregulación de DeFi.

"Es el colmo de la estupidez decir 'el código es ley' en esta situación. Es un conjuro mágico que no significa nada", declaró el abogado de Anderson Kill a CoinDesk.

“No hay nada nuevo aquí”, añadió. “Vino viejo, odres nuevos; codicia Human egoísta. ¿Es robar un banco una 'explotación económica'? Decir eso es una completa estupidez. Si se gestiona adecuadamente, no hay nada que siente un precedente innovador.”

Varios abogados y miembros del equipo CORE de Indexed señalaron en particular señales de la intención de Andy que podrían erosionar su defensa.

“Este no fue un caso de un contrato con un simple error, lo que algunos llaman una explotación económica”, dijo Kellar, miembro del equipo CORE de Indexed. “No accionó una palanca que generara demasiadas monedas; fue un ataque sofisticado que explotó una vulnerabilidad muy específica que nadie detectó durante un año”.

Una secuencia de acciones que conduzcan al ataque socavará cualquier intento de Andy de presentar el exploit como un "accidente feliz", añadió Kellar.

“Si un cajero o sistema bancario comete un error y alguien se enriquece injustamente, esto ciertamente no impone sanciones penales a la persona que recibió el beneficio”, dijo Costeloe, abogado de MacCarthy LLP. “Puede que se hayan enriquecido injustamente, pero también lo hicieron de forma inocente, sin intención alguna. La situación con Indexed es un BIT diferente, ya que el hacker escribió el código y atacó el protocolo de una manera que demuestra una clara intención de enriquecerse”.

Al final, varios abogados desestimaron el argumento de que “el código es ley”, calificándolo de “ilusión” y considerándolo “delirante”.

Determinación sombría

El jueves por la mañana, la supuesta cuenta de Twitter ZetaZero de Andy publicó un breve hilo en el que enmarcó la próxima batalla legal como un “duelo”.

A pesar de la aparente inercia que inclina el asunto hacia una confrontación legal, tanto Gottlieb como Palley señalaron que si Andy devolviera los fondos habría una posibilidad de que el incidente no tuviera que ser litigado.

Palley dijo que devolver los fondos “no deshace el crimen”, pero podría llevar a un fiscal a negarse a presentar cargos.

Sin embargo, el equipo CORE de Indexed ha llegado a un punto de “severa determinación”, según Day.

"He tenido tiempo de procesar todo esto, y se va a armar un revuelo en Twitter, pero, considerando todo, sé que fue lo correcto. Dillon [Kellar] y yo seremos parias en algunos aspectos ahora, pero fue lo correcto", dijo sobre revelar información confidencial de Andy.

Kellar dejó en claro que también consideran que el juicio es un resultado cada vez más probable.

“Algunas personas han dicho que podría mudarse a Venezuela o a algún otro lugar sin extradición; no creo que eso suceda. Realmente parece que quiere que este sea un caso que siente precedente, así que si no devuelve los fondos, preveo que esto irá a los tribunales”, dijo Kellar.

“Está intentando dejar su nombre grabado en la historia, y lo va a conseguir, pero de forma ruinosa”, dijo Day. “Es un BIT desgarrador. Un desperdicio colosal de talento, tiempo y dinero. ¿Y para qué? Solo quiero decirle: 'Maldita sea, Andy, ¿por qué nos has obligado a hacer esto?'”